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@ Anordnung fur einen Sicherheitsmodul 

(57) Anordnung fur einen Sicherheitsmodul zur Verhinde- 
rung des Auslesens oder der unberechtigten Manipulati- 
on sicherheitsrelevanter Daten. 

Ein derartiger Modul wird beispielsweise in ASICs in 
Frankiermaschinen oder in Geldautomaten eingesetzt. 
Zweck ist eine Verbesserung der Manipulationssicherheit. 
AufgabengemaR sollen Rontgenuntersuchungen verhin- 
dert werden und Versuche mittels Aufbohren oder Auf- 
schleifen erfolglos sein. 

Erfindungsgemafi ist der Sicherheitsmodul 1 von minde- 
stens einer Rontgenstrahlen absorbierenden Hulle 2 um- 
geben und mit Mitteln 4, 5, 6 zur gezielten Manipulation 
sicherheitsrelevanter Daten bei mechanischem Eingriff 
und/oder Rontgenbestrahlung versehen. 
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Die Erfindung betriffi eine Anordnung fiir einen Sicher- 
heitsmodul insbesondere zur Verhinderung des Auslesens 
oder der unberechtigten Manipulation sicherheitsrelevanter 5 
Daten. Diese Dalen konnen sicherheitsrelevante Teile eines 
Maschinenprogramms, Guthabenwerte oder andere sicher- 
heitsrelevante Funktionen betreffen. 

Ein derariiger Modul wird beispielsweise in ASICS in 
Frankiermaschinen oder Chipkarten fur den Geldverkehr 10 
oder in Geldautomatcn eingesetzt. 

Zum allgemeinen Schutz und zuni Schutz gegen Manipu- 
lationen wird der Sicherheits modul ublicherweise mil einer 
aushartenden VerguBmasse umgeben, siehe 
EP 0 717 370 A2. Die VerguBmasse ist in der Regel ein Ep- 15 
oxydharz oder ein anderer geeigneter Plast. 

Damn werden Manipulationen zwar erschwert, jedoch 
nicht vcrhindcrt. Urn Manipulationen an cincm dcrarligcn 
Sicherheitsmodul vornehmen zu konnen, wlirde man zu- 
nachst denselben einer Rontgenuntersuchung unterziehen 20 
und anschliefiend an den fur einen Zugang geeigneten Stel- 
len aufschleifen oder aufbohren. 

Weiterhin ist noch eine Beeinfiussung uber die elektri- 
schen Anschlusse moglich. 

Eine andere bekannte SchutzmaBnahme besteht darin, 25 
den Sicherheitsmodul mit einer Folie mil einem maander- 
formigen Leiter hoher Packungsdichte zu umschlieBen und 
mit diesem elektrisch zu koppeln, siehe Bennet Yee "Using 
Secure Coprncessors" May 1994 CMU-CS-94-149, School 
of Computer Science Carnegie Mellon University Pitts- 30 
burgh, page 7. 

Der Leiter wird von einer Langlebensdauerbatterie ge- 
speist. Bei Durchtrennung an irgendeiner Stelle werden der 
Stromkreis unterbrochen und infclgedessen die sicherheits^ 
relevanten Daten im Sicherheitsmodul geziell manipuliert 35 
bis hin zur vollstandigen Loschung derselben. 

Zweck der Erfindung ist eine Verbesserung der Manipula- 
tionssicherheit. 

Der Erfindung liegt die Aufgabe zugrunde, eine Anord- 
nung zu schaffen die bewirkt, daB Rontgenuntersuchungen 40 
verhindert werden und separate Versuche mittels Aufbohren 
oder Aufschleifen nicht zum gewiinschten Erfolg fuhren. 

ErfindungsgemaB wird diese Aufgabe gemaB dem Haupt- 
anspruch geldst. Weitere vorteilhafte Merkmale der Erfin- 
dung sind den Unteranspriichen zu entnehmen. 45 

Aufgrund der fakultativen Staffelung von Schutzhullen 
und Detektoren werden je nach Bedurfnis und Aufwandsbe- 
rechtigung ein sicherer Schutz gegen unberechtigte Manipu- 
lationen erreicht. 

Die Erfindung wird nachstehend am Ausfiihrungsbeispiel 50 
naher erlautert. 

In der Figur ist ein Langsschnitt durch eine erfindungsge- 
maBe Anordnung dargestellt. 

Zur Vereinfachung und zum leichteren Verstandnis ist die 
Darstellung schematisiert ausgefuhrt. 55 

GemaB Fig. 1 besteht die erfindungsgemaBe Anordnung 
aus: 

- einem Sicherheitsmodul 1 nebst Manipulations- 
schaltung 9 und Batterie 10, die gemeinsam auf eine 60 
Modulplatine 11 aufgesetzt und elektrisch miteinander 
verkniipft sind, 

- einer die vorgenannten Baugruppen umgebenden 
Ron tgens trail len absorbierenden Flu lie 2 

- cincm Rontgenstrahlen -Dctcktor 6, cincm maandcr- 65 
fonnigen elektrischen Leiter 4 und mindestens einem 
Lichtdelektor 5, der mit einem Lichtleiter 51 gekoppeh 
ist, und die allc elektrisch mit der Modulplatine 11 ver- 
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- einer weiteren, lichtundurchlassigen Hu lie 3 und" 

- einem die vorgenannten Bauteile umgebenden, 
Rontgenstrahlen absorbierenden Gehause 7, das auf 

ei BEST W!Wl^!ip!0OP 8 i fe,arisch 

inTnJeTlvloduipTaline ITverDunden isT 

Die Manipulationsschaltung 9 ist so beschaffen bezie- 
hungsweise programmieru daB im Storungsfall sicherhciis- 
relevante Daten in vorgegebener Weise so manipuliert wer- 
den, daB der Sicherheitsmodul nicht mehr ordnungsgemaB 
arbeitet. Die bewuBte Manipulation kann auch darin beste- 
hen, das alle sicherheitsreievanten Daten geloscht werden. 
Die Batterie 10 dient zur Strontversorgung des niaanderfor- 
migen Leiters 4 sowie der Manipulationsschaltung 9 und ist 
als Langlebensdauerbatterie ausgefuhrt. 

Die Hulle 2 besteht aus einem GieBharz, der mit einem 
Rontgcnstrahlcn absorbierenden Fullstoff aus Blci- und 
Kupferlegierungen sowie wahlweise weiteren FullstorTen 
versetz! ist. Der erste Fullstoff ist vorzugsweise eine Mi- 
schung aus 85% Mennige -PD3O4- und 15% Cuprit -CU2O-. 
Als weitere Fullstoffe sind wahlweise Quarzpulver, Glasku- 
geln oder Glasfaser eingesetzt. 

Die Hiille 2 kann alternativ auch als Bleimantelgehause 
ausgefuhrt sein. 

Der Rontgenstrahien-Detektor 6 auBerhalb der Hiille 2 ist 
mit der Modulplatine 11 und uber dieselbe mit der Manipu- 
lationsschaltung 9 oder mit dem Sicherheitsmodul 1 direkt 
elektrisch verbunden. 

Dasselbe trifft auf den maanderformigen Leiter 4 und den 
Lichtdetektor 5 zu. 

■ Die Hiille 3 ist lediglich als lichtundurchlassiges Gehause 
ausgefuhrt, mit dem zusatzlich zu seiner Hauptfunktion - 
bei Offnung Auslosung des Lichtdetektors 5 einerseits ein 
Augenscheinschutz der Anordnung und andererseits ein Be- 
ruhrungsschutz der eingeschlossenen Detektoren erreicht 
wird. 

Das Gehause 7 ist in diesem Fall vorzugsweise elektro- 
magnetisch abschirmend - Plaste mit Kupfer- und Eisenbe- 
schichtung - ausgefuhrt und enthalt innen eine die nachfol- 
genden Baugruppen abschirmende Bleiplatte 71. Es kann 
auch nur vollstandig als Bleigehiiuse ausgefuhrt sein. 

Die Wirkungs weise wird nach folgend beschrieben. 

Wird die gesamte Anordnung mit Rontgenstrahlen be- 
strahlt und/oder anderen elektromagneti schen Feldem aus- 
gesetzt, so ist auf Grund der Beschaffenheit des Gehauses 7 
nichts erkennbar und der Rontgenstrahlen-Detektor 6 bleibt 
inaktiv. Das Gehause 7 dient in erster Linie als Schutz bei 
Routineuntersuchungen durch den Zoll oder andere Kon- 
trolldienste. Wenn sichergesteilt ist, daB derartige Untersu- 
chungen fiir das Gerat unterbleiben, kann das Gehause 7 
weggelassen werden. Ist das Gehause 7 abgenommen und 
der Teil mit der Hiille 3 wird mit Rontgenstrahlen behandelt, 
so werden der Rontgenstrahlen-Detektor 6 aktiviert und 
demzufolge die sicherheitsreievanten Daten verfalscht be- 
ziehungsweise geloscht. 

Bei dem Versuch mittels Aufbohren der Hiille 3 werden 
sowohl der Lichtdetektor 5 als auch der Leiter 4 ausgelost 
und die sicherheitsreievanten Daten in analoger Weise wie 
vorstehend beschrieben unkenntlich und damit fiir weitere 
Zwecke unmanipulierbar gemacht. Da der Lichtdetektor 5 
mit einem Lichtleiter 51 gekoppelt ist, der die gesamte 
Oberflache abdecken kann, isi jeglicher Lichteinfall wirk- 
sam. 

SchlicBlich bildct bcrcits die crslc inncrc Hullc 2 cine si- 
chere Sperre gegen Rontgenuntersuchungen. 
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1 Sicherheitsmodul 
11 Modulplatine 

2 Hulle aus GieBharz mil Rontgenstrahlen absorbierendem 
Fiillstoff 

3 lichtundurchlassige Hiille 

4 maanderformiger elekirischer Leiler 

5 Lichtdetektor 
51 Lichtleiter 

6 Ronlgenstrahlen-Detektor 

7 Rontgenstrahlen absorbierendes Gehause 

71 Rontgenstrahlen absorbierende Platte im Gehause 7 
8Platine 

9 Manipulationsschaltung 15 

10 Batterie 

Patcntanspruchc 

1. Anordnung fur einen Sicherheitsmodul zur Verhin: 20 
derung des Auslesens oder der unberechtigten Manipu- 
lation sicherheitsrelevanter Daten, dadurch gekenn- 
zeichnet, 

daB der Sicherheitsmodul (1) mindestens von einer 
Rontgenstrahlen absorbierenden Hulle (2) umgeben 25 
und 

mit Mitteln (4, 5, 6) zur gezielten Manipulation sicher- , 
heitsrelevanter Daten bei mechanischem Eingriff und/ 
oder Ronlgenbestrahlung versehen ist. 

2. Anordnung nach Anspruch 1. dadurch gekennzeich- 30 
net, daB die Hiille (2) aus Blei besteht. 

3. Anordnung nach Anspruch 1. dadurch gekennzeich- 
net, daB die Hulle (2) aus=einem GieBharz mit einem : 
Rontgenstrahlen absorbierenden Fiillstoff aus Blei- 
und Kupfer-Verbindungen sowie wahlweise weiteren 35. 
Fullstoffen besteht. 

4. Anordnung nach Anspruch 3. dadurch gekennzeich- 
net, daB eine Mischung aus 85% Mennige -Pb 3 0 4 - und 
\5% Cuprit -Cu 2 0- und als weitere Fujlstoffe wahl- 
weise Quarzpulver, Glaskugeln oder Glasfaser einge^ 40 
setzt sind. 

5. Anordnung nach Anspruch 1 , dadurch gekennzeich- 
net f ; 

daB der Sicherheitsmodul (1) von einer weiteren, lich- 
tundurchlassigen Hiille (3) umgeben ist und 45 
daB im Ubergangbereich.zwischen dieser Hulle (3) und 
der Rontgenstrahlen absorbierenden Hiille (2) wahl- . 
weise ein maanderformiger elektrischer Leiter (4) oder 
ein Lichtdetektor (5) nebst Lichtleiter (51) oder ein 
Rontgenstrahien-Detektor (6) oder Kombinationen 50 
derselben angeordnet sind, die mit dern Sicherheitsmo- 
dul (1) direkt oder uber eine Manipulationsschaltung 
(9) elektrisch verbunden sind. 

6. Anordnung nach Anspruch 1 und 5, dadurch ge- 
kennzeichnet, daB die Hulle (3) von einem Rontgen- 55 
strahlen absorbierenden Gehause (7) umgebeben ist, 
das auf eine Platme (8) aufgesetzt ist, die mit dem Si- 
cherheitsmodul (1) elektrisch verbunden ist. 

7. Anordnung nach Anspruch 5. dadurch gekennzeich- 
net. daB die Manipulationsschaltung (9) nur bei span- 60 
nungslosem Zustand des Sicherheitsmoduls (1) mil 
demselben elektrisch verbunden ist. 
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